Marc de programari maliciós GentleKiller

El Mezo el Amenaça persistent avançada (APT), Ransomware

Traduir a:

L'operació Gentlemen ransomware-as-a-service (RaaS) està desenvolupant i mantenint activament un conjunt complet d'eines de detecció i resposta de punts finals (EDR) que els afiliats poden utilitzar per desactivar les proteccions de seguretat abans de desplegar xifratgers de ransomware.

Al centre d'aquest arsenal hi ha un marc de treball conegut com a GentleKiller, recolzat per diverses eines de tercers i filtrades, com ara HexKiller, ThrottleBlood i HavocKiller. Aquestes utilitats estan unificades mitjançant un marc de treball comú d'evasió de defensa que les disfressa de productes de seguretat legítims mitjançant l'ús d'informació de versió falsa, certificats digitals copiats i icones d'aplicacions clonades.

Taula de continguts

Explotació ràpida de vulnerabilitats recentment revelades

Una de les capacitats més destacables del grup és la seva capacitat per posar en pràctica ràpidament vulnerabilitats de prova de concepte (PoC) recentment publicades associades amb la tècnica Bring Your Own Vulnerable Driver (BYOVD). En molts casos, les vulnerabilitats recentment revelades s'integren al conjunt d'eines del grup en només uns dies després de fer-se públiques.

Aquest enfocament de desenvolupament simplificat proporciona als afiliats eines altament efectives alhora que redueix els requisits de desenvolupament per als mateixos operadors. El model també permet al grup actualitzar contínuament el seu arsenal incorporant els controladors recentment utilitzats gairebé immediatament després de la seva divulgació pública.

Un ràpid augment de l’ecosistema de ransomware

Des que va sorgir el març del 2025, The Gentlemen s'ha convertit ràpidament en un dels grups de ransomware més actius a tot el món. L'operació ha reivindicat la responsabilitat de 504 víctimes, amb la majoria dels objectius ubicats al sud-est asiàtic, Amèrica del Sud i Europa Occidental.

Investigacions recents han identificat Alexander Andreevich Yapaev, un ciutadà rus de 36 anys conegut en línia com a "hastalamuerte", com el líder de l'operació. Abans de llançar The Gentlemen, sembla que va treballar com a afiliat de diversos altres programes de ransomware, inclòs Qilin.

Evasió EDR avançada mitjançant suplantació d’identitat i protecció binària

The Gentlemen es considera una de les operacions RaaS tècnicament més àgils actualment actives. Els seus desenvolupadors utilitzen múltiples tècniques per garantir que els assassins EDR compilats evitin la detecció, inclosos mecanismes de protecció binària i l'ús de noms de fitxer dissenyats per semblar-se als de proveïdors de ciberseguretat coneguts. L'engany s'estén a informació de versió falsificada, signatures digitals i icones d'aplicacions.

L'eina més utilitzada de l'arsenal, GentleKiller, existeix en vuit variants diferents. Cada versió imita un producte de seguretat legítim diferent i abusa d'un controlador vulnerable o maliciós separat com a part d'una cadena d'atac BYOVD. El marc de treball és capaç d'identificar i atacar aproximadament 400 processos associats a 48 solucions de seguretat diferents de nombrosos proveïdors.

L’abús creixent de conductors vulnerables

En els darrers mesos s'ha vist un augment de l'abús del controlador PoisonX.sys en múltiples campanyes BYOVD. En un incident, el controlador es va utilitzar per tancar la plataforma CrowdStrike Falcon EDR. En una altra campanya, atacants van explotar BeyondTrust Remote Support per implementar ransomware dins d'una xarxa de víctima després de desactivar primer els productes de seguretat mitjançant PoisonX.sys i hrwfpdrv.sys.

Fins i tot quan s'eliminen les diferències en la marca i la selecció de controladors, el codi subjacent d'aquests assassins EDR demostra similituds estructurals i de comportament significatives, cosa que indica clarament l'ús d'una plantilla de desenvolupament compartida.

Assassins EDR de tercers integrats a l’Arsenal

El kit d'eines Gentlemen's incorpora diversos dispositius de seguretat EDR externs basats en BYOVD:

HexKiller (googleApiUtil64.sys), que abans es creia que era exclusiu del grup de ransomware Warlock.
ThrottleBlood (ThrottleBlood.sys), observat en atacs vinculats a afiliats de MedusaLocker i DragonForce, i HavocKiller o HwAudKiller (havoc.sys).
OxideHarvest amplia l'amenaça més enllà del ransomware

Els investigadors també han identificat un programari maliciós basat en Rust que roba credencials anomenat OxideHarvest, també conegut com a buildx641. El lladre és capaç de recopilar informació sensible de nombrosos navegadors populars, com ara:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk i IceCat.

Un model centralitzat que atrau afiliats

Mentre que molts grups de ransomware deixen les operacions d'elusió EDR als seus afiliats, The Gentlemen ha optat per centralitzar aquesta capacitat proporcionant als afiliats un conjunt de eliminadors EDR estandarditzat i llest per utilitzar. Aquesta estratègia redueix significativament la barrera tècnica d'entrada per als afiliats, simplifica el desplegament de ransomware i augmenta l'atractiu general de l'operació dins de l'ecosistema ciberdelinqüent.

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió